一種可證安全的密鑰隔離無(wú)證書代理重加密方案.docx

1、電子科技大學(xué)學(xué)報(bào)JournalofUniversityofElectronicScienceandTechnologyofChina一種可證安全的密鑰隔離無(wú)證書代理重加密方案何粒波1，盧震宇2,耿貞偉1,秦志光1(1.電子科技大學(xué)信息與軟件工程學(xué)院成都610054；2.云南電網(wǎng)有限責(zé)任公司信息中心昆明65()000)【摘要】在代理重加密體制里，一個(gè)不可信的代理服務(wù)器將用Alice公鑰加密的密文轉(zhuǎn)換為用Bob公鑰加密的密文，同時(shí)該代理服務(wù)器無(wú)法獲知明文及相關(guān)用戶的私鑰。無(wú)證書代理重加密體制能夠同時(shí)避免傳統(tǒng)公鑰基礎(chǔ)設(shè)施中復(fù)雜的公鑰證書管理和基于身份加密中的密鑰托管問(wèn)題?？紤]到用戶私鑰泄露可能帶來(lái)的

2、危害，該文提出了具有密鑰隔離功能的無(wú)證書代理重加密體制，隨機(jī)預(yù)言機(jī)模型中的安全證明和模擬實(shí)驗(yàn)表明該方案是高效安全的。同時(shí)，設(shè)計(jì)了基于云計(jì)算的移動(dòng)互聯(lián)網(wǎng)中的安全數(shù)據(jù)共享方案。關(guān)鍵詞無(wú)證書公鑰加密體制；云計(jì)算；密鑰隔離；移動(dòng)互聯(lián)網(wǎng)；代理重加密加密體制中圖分類號(hào)TP309文獻(xiàn)標(biāo)志碼Adoi:l0.3969/j.issn.l001-0548.2018.04.021AnEfficientKey-InsulatedProxyRe-EncryptionSchemeinCertificatelessCryptographyHELi-boILUZhen-yu2,GENGZhen-wei1,andQINZhi-g

3、uang1(1.SchoolofInformationandSoftwareEngineering,UniversityofElectronicScienceandTechnologyofChinaChengdu610054;2.InformationCenterofYunnanPowerGridCo.,LtdKunming650000)AbstractInaproxyre-encryptionscheme,anuntrustedproxycanconverttheciphertextencryptedbyAlicetotheciphertextencryptedbyBob.Certifica

4、telessproxyre-encryptionschemehastheadvantagesthatavoidingthecomplicatedpublickeyinfrastructure(PKI)andsolvingtheproblemofkey-escrowinidentity-basedcryptography.Todealwiththedisastrousresultofkeyleakage,acertificatelessproxyre-encryptionschemefeaturedwithkeyinsulatedfunctionhasbeenproposedinthispape

5、r.Securityproofintherandomoraclemodelandexperimentresultsdemonstratethattheproposedschemeissecureandpractical.Atlast,asecuredatasharingschemeforcloud-basedmobileInternethasalsobeengivenbasedontheproposedencryptionscheme.Keywordscertificatelesscryptography;cloudcomputing;key-insulated;mobileinternet;

6、proxyreencryption收稿日期：2016-12-26；修回日期：2017-05-15基金項(xiàng)目：國(guó)家自然科學(xué)基金(61003230,61370026,61133()16,61272527)作者簡(jiǎn)介：何粒波(1981-),女，博士生，主要從事密碼學(xué)和網(wǎng)絡(luò)安全方面的研究.代理重加密機(jī)制是文獻(xiàn)1提出的一種特殊的公鑰加密體制。在代理重加密的加密系統(tǒng)里，一個(gè)由Bob公鑰生成的密文可由不可信的代理服務(wù)器轉(zhuǎn)化為在Alice公鑰下生成的密文，Alice可使用自己的私鑰解密出明文。在整個(gè)代理重加密的過(guò)程中，代理服務(wù)器無(wú)法解密密文或獲取任何用戶的私鑰。由于密文轉(zhuǎn)化的功能，這一加密系統(tǒng)非常適用于構(gòu)建針對(duì)云

7、計(jì)算的安全數(shù)據(jù)共享方案。為提高代理重加密方案的安全性和效率，大量的代理重加密體制陸續(xù)出現(xiàn)27】。但在基于傳統(tǒng)公鑰證書框架下提出的代理重加密體制本身存在著復(fù)雜的公鑰證書管理的缺陷(如證書的生成、傳輸、驗(yàn)證、存儲(chǔ)及廢除)。于是，文獻(xiàn)8在2007年提出了第一個(gè)基于身份基的代理重加密體制。隨后，這一研究領(lǐng)域成為熱點(diǎn)。學(xué)術(shù)界涌現(xiàn)了大量的基于身份基的代理重加密體制在這種加密體制里，由于公鑰可以直接由用戶的屬性(如用戶的電子郵件)生成，所以避免了使用基于公鑰加密的代理重加密體制里復(fù)雜的公鑰基礎(chǔ)。但是由于私鑰是由私鑰生成中心生成的，所以基于身份的代理重加密體制存在著密鑰托管問(wèn)題。鑒于此，文獻(xiàn)12在2010年提

8、出了第一個(gè)無(wú)證書代理重加密體制。這種加密體制可以避免采用復(fù)雜的公鑰管理體制，也解決了密鑰托管問(wèn)題，從而使得代理重加密這一密碼學(xué)原語(yǔ)被更加廣泛地應(yīng)用于不同的場(chǎng)景中。隨著社會(huì)工程學(xué)與邊信道攻擊的快速發(fā)展，用戶的私鑰面臨著前所未有的威脅。一旦用戶私鑰泄露，整個(gè)公鑰密碼體制的安全性將面臨滅頂威脅。文獻(xiàn)13提出了第一個(gè)密鑰隔離的公鑰密碼體制，在系統(tǒng)里增加了一個(gè)物理安全的部件（稱之為協(xié)助器），整個(gè)系統(tǒng)的時(shí)間分為個(gè)碎片，在每一個(gè)時(shí)間片里，協(xié)助器生成一個(gè)新的協(xié)助器私鑰，作為用戶私鑰的一部分，通過(guò)這種方法，用戶的私鑰在每一個(gè)時(shí)間片里被更新。即使前面時(shí)間片的私鑰暴露了，也不會(huì)泄露后面時(shí)間片的私鑰?？紤]到目前有的代

9、理重加密方案都未考慮密鑰泄露帶來(lái)的威脅，本文結(jié)合密鑰隔離的思想提出具有抗密鑰泄露功能的無(wú)證書代理重加密方案。本文的貢獻(xiàn)如下：1）通過(guò)結(jié)合密鑰隔離和無(wú)證書代理重加密方案，給出了密鑰隔離無(wú)證書代理重加密方案的形式化定義和安全模型；2）采用構(gòu)建于橢圓曲線密鑰體制上的雙線性映射工具，提出了一個(gè)密鑰隔離無(wú)證書代理重加密方案的具體方案；3）在隨機(jī)預(yù)言機(jī)模型中給出了所提方案的安全性證明，同時(shí)采用Miracl庫(kù)函數(shù)具體實(shí)現(xiàn)了該方案，實(shí)驗(yàn)結(jié)果表明該方案高效實(shí)用；4）利用該方案設(shè)計(jì)了一個(gè)基于云計(jì)算的適用于移動(dòng)互聯(lián)網(wǎng)的安全數(shù)據(jù)共享協(xié)議。2形式化定義和安全模型本章討論了密鑰隔離無(wú)證書代理重加密體制（KI-CLPRE）

10、的形式化定義、KI-CLPRE體制的IND-CPA安全證明模型及相關(guān)困難問(wèn)題假設(shè)。2.1形式化定義KI-CLPRE體制由以下11個(gè)算法構(gòu)成：Setup:算法輸入安全參數(shù)k,輸出系統(tǒng)參數(shù)params、master-key和master-helper-key。SetSecretVai:算法輸入params,用廣1A身份IDa，輸出秘密值SA=（zAfvjoHelperKeyUpdate:算法輸入params，master-helper-key,用戶*身份IDa和時(shí)間周期，輸出用戶A的第，個(gè)時(shí)刻的協(xié)助器密鑰入=tH2（ID"）oPartialKeyExtract:算法輸入params，ma

11、ster-key和用戶A身份IDa，輸出用戶A的部分密鑰（P,場(chǎng)）=（皿，a）°SetPrivateKey:算法輸入params>、EA>SA和時(shí)間周期L輸出用戶A第，個(gè)時(shí)刻的密鑰SKAi=（DAi,）=（tAi,zA,vA）。SetPublicKey:算法輸入params、F川和是，算法輸出用戶A公鑰PKa=W0,/）。SetReEncKey:算法輸入PKa、SK人、PK,用戶A的身份IDr用戶8的身份1庇和時(shí)間周期，輸出第，個(gè)時(shí)刻的重加密密鑰PK人*=（上-5（叢）+zA）modq。Encrypt:算法輸入params、明文m、用戶A身份IDa、PKa和時(shí)間周期i，輸

12、出第i個(gè)時(shí)刻的Cm=（。1,”C2J）°ReEncrypt:算法輸入params、RKatB、CAi=（C1J,S）和時(shí)間周期，輸出第，個(gè)時(shí)刻的C=（/,d）。Ba,i2,/Decrypti:算法輸入params、RK4>Cu=（C|j，S）和時(shí)間周期，輸出明文moDecrypt:算法輸入params>CAJ=c2i）>SK”和時(shí)間周期Z,輸出明文mo2.2安全模型本文定義KLCLPRE的IND.CPA語(yǔ)義安全模型。在這個(gè)安全模型里，攻擊者可被分為兩類：第一類攻擊者A和第二類攻擊者A?。第一類攻擊者A|代表惡意的第三方，它不能獲得master-key和master-

13、helper-key/但是它能夠知道秘密值，可以任意值重置公鑰；第二類攻擊者A2代表一個(gè)誠(chéng)實(shí)但好奇的密鑰生成中心，可以獲得master-key和master-helper-key,不能得知秘密值，所以不能替換公鑰。在代理重加密的加密體制里有兩種不同級(jí)別的密文，據(jù)此，本文將分別建立KI-CLPRE在IND-CPA游戲中對(duì)一級(jí)密文和二級(jí)密文的安全模型。在KI-CLPRE體制中攻擊者可能執(zhí)行的預(yù)言機(jī)：Set-Secret-Value:攻擊者A輸入?yún)?shù)ID,詢問(wèn)預(yù)言機(jī)Set-Secret-Value,挑戰(zhàn)者S返回秘密值SA=（zA,uQ給A。Helper-Key-Update:攻擊者A輸入?yún)?shù)ID和時(shí)

14、間周期，詢問(wèn)預(yù)言機(jī)Helper-Key-Update,挑戰(zhàn)者S返回用戶的第i個(gè)時(shí)刻的協(xié)助器密鑰化=r/72（IDA,0給AoPartial-Key-Extract:攻擊者A輸入?yún)?shù)ID,詢問(wèn)預(yù)言機(jī)Partial-Key-Extract,挑戰(zhàn)者S返回用戶的部分密鑰（Pa,&）=（幼0）給入。Set-Private-Key:攻擊者A輸入?yún)?shù)ID和時(shí)間周期，詢問(wèn)預(yù)言機(jī)Set-Private-Key,挑戰(zhàn)者S返回用戶第，個(gè)時(shí)刻的密鑰SKa=（Daj,S,）=（S，Za，*）給AoSet-Public-Key:攻擊者A輸入?yún)?shù)ID,詢問(wèn)預(yù)言機(jī)Set-Public-Key,挑戰(zhàn)者S返回輸出用戶公鑰

15、PKa=（皿,"渺人）給A。Set-ReEncrypt-Key:攻擊者A輸入?yún)?shù)ID和時(shí)間周期，詢問(wèn)預(yù)言機(jī)Set-ReEncrypt-Key,挑戰(zhàn)者S返回輸出第i個(gè)時(shí)刻的重加密密鑰RKa-b=(tAH5(/A)+zA)modq給A。Public-Key-Replace:A可以通過(guò)詢問(wèn)Public-Key-Replace預(yù)言機(jī)，用自己選擇的秘密值來(lái)重置公鑰4。對(duì)于一級(jí)密文Caq=(C“，C2J)，本文分別對(duì)兩類攻擊者建立不同的IND-CPA游戲來(lái)論證KI-CLPRE體制的安全性。game1_level1_ciphertext(第一類攻擊者A基于一級(jí)密文對(duì)于KLCLPRE體制的IND-C

16、PA游戲)：系統(tǒng)建立階段：輸入安全系數(shù)k,挑戰(zhàn)者S執(zhí)行Setup算法，并返回除了master-key和masterhelper-key的系統(tǒng)參數(shù)params給Ai。第一階段：A適當(dāng)詢問(wèn)以下的預(yù)言機(jī)：Helper-Key-Update、Partial-Key-Extract、Set-Private-Key>Set-Public-Key、Set-ReEncrypt-Key、Public-Key-Replace。詢問(wèn)這些預(yù)言機(jī)時(shí)，A需要遵守對(duì)其的行為限定規(guī)則。挑戰(zhàn)階段：一旦A】決定第一階段結(jié)束，A】選擇一個(gè)挑戰(zhàn)身份ID*進(jìn)行挑戰(zhàn)，并輸出兩個(gè)等長(zhǎng)的明文所。，物o挑戰(zhàn)者S隨機(jī)地選擇一個(gè)比特/?e0

17、,l,并計(jì)算出挑戰(zhàn)的密文C*=C*=(c*,c*),A,i,i2,/并將密文C*返回給Ap猜測(cè)階段：最后，A】輸出一個(gè)猜測(cè)比特&0,1，如果b'=b,則A】獲勝。對(duì)A的行為限定規(guī)則：攻擊者A為外部用戶，I1所以無(wú)法獲取密鑰生成中心的主密鑰，但可以用任意值替換用戶公鑰。特別的，A無(wú)法替換挑戰(zhàn)中的用戶ID*的公鑰。游戲game2_levell_ciphertext(第二類攻擊者A2基于一級(jí)密文對(duì)于KLCLPRE體制的IND-CPA游戲)與游戲game1_level1_ciphertext類似，不再贅述。對(duì)于二坂密文Cf=(cf9cf),本文分別對(duì)兩類B,i1,/2,i攻擊者建立不同

18、的IND-CPA游戲來(lái)論證KI-CLPRE體制的安全性。game1_level2_ciphertext(第一種類型的攻擊者Ai基于二級(jí)密文對(duì)于KLCLPRE體制的1ND-CPA游戲)：系統(tǒng)建立階段：輸入安全系數(shù)k,挑戰(zhàn)者S執(zhí)行Setup算法，并返回除Tmaster-key和master-helper-key的系統(tǒng)參數(shù)params給Ai。第一階段：A.適當(dāng)詢問(wèn)以下的預(yù)言機(jī)：Helper-Key-Update、Partial-Key-Extract、Set-Private-Key、Set-Public-Key、Set-ReEncrypt-Key、Public-Key-Replaceo詢問(wèn)這些預(yù)言機(jī)

19、時(shí)，Ai需要遵守對(duì)其的行為限定規(guī)則。挑戰(zhàn)階段：一旦A決定第一階段結(jié)束，A選擇一個(gè)挑戰(zhàn)身份id*進(jìn)行挑戰(zhàn)，并輸出兩個(gè)等長(zhǎng)的明文0挑戰(zhàn)者S隨機(jī)地選擇一個(gè)比特“£0,1并計(jì)算出挑戰(zhàn)的密文C*,并將密文C*返回給A|。猜測(cè)階段：最后，A】輸出一個(gè)猜測(cè)比特況0,1,如果b'=b,則A】獲勝。對(duì)A的行為限定規(guī)則：攻擊者A為外部用戶，所以無(wú)法獲取密鑰生成中心的主密鑰，但可以用任意值替換用戶公鑰。特別的，A】無(wú)法替換挑戰(zhàn)中的用戶ID*的公鑰。游戲game2_level2_ciphertext(第二類攻擊者A2基于二級(jí)密文對(duì)于KLCLPRE體制的IND-CPA游戲)與游戲game1Jevel2

20、_ciphertext類似,不再贅述。2.3相關(guān)困難問(wèn)題計(jì)算Diffie-Hellman(CDH)問(wèn)題：給定一個(gè)階為q的循環(huán)群G,g為它的生成元。隨機(jī)選定Q,況0,1,.,0-1的值,給定g,ga,gb,計(jì)算出gab的值非常困難。3方案構(gòu)造本文在無(wú)證書代理重加密體制CLPRE,41的基礎(chǔ)上構(gòu)造了具有密鑰隔離功能的密鑰隔離無(wú)證書代理重加密體制KLCLPREo具體方案如下：1)Setup(k):給定一個(gè)安全參數(shù)k,Setup算法運(yùn)行如下：輸入一個(gè)安全參數(shù)k,生成一個(gè)g階的乘法循環(huán)群G。選擇一個(gè)群G的生成元g。隨機(jī)選取xeZ*,x是KGC的master-key并計(jì)算出y="。隨機(jī)選取reZ

21、；,丁是協(xié)助器的master-helper-key并計(jì)算出d。選擇加密哈希函數(shù)：H;0,l*xZ+Z；;"3：Gt0,1,其中為某個(gè)整數(shù)；H4:Z+x(0,1*Z；H-GtZ%系統(tǒng)參數(shù)是params=(p,q,g.y.S.H,H2,H39H4)，master-key=xmaster-helper-key=t。2JA.i2) SetSecretKey(params,ID4):輸入params，用戶A身份ID,算法隨機(jī)選擇z算法輸AAAci出SA=(zA,*)作為秘密值。3) HelperKeyUpdate(z,params,master-helper-key,IDG:輸入params,

22、master-helper-key和用戶A身份皿,在各個(gè)時(shí)間周期Ze0,1,2,1,算法周期生成一個(gè)協(xié)助器密鑰入=州2(1。,/)O算法輸出S做為用戶A的協(xié)助器密鑰。4) PartialKeyExtract(params,master-keyDa):輸入params,master-key和用戶A身份ID,算法隨機(jī)得選擇sgZ*，并計(jì)算出w=必和3a=sa+AaAxH(ID0)modq。算法輸出(P,E)=(口，6»)。1AAAAAA5) SetPrivateKey(z,params,y/,E,S):輸入AAparamsSa,在各個(gè)時(shí)間周期ie0,l,n-1，算法生成t=s+xH(ID

23、，薩')+A,iAIAtH2(1DaJ)o算法輸出用戶A的密鑰SK人廣(Daj,Sa)=(知,Zr,U人)。6) SetPublicKey(params,PA.SA):輸入params,尸人和七。算法計(jì)算A§Za和。人=礦"。算法輸出用戶A的公鑰PK,=(袱,外0)。7) SetReEncKey(z,params,SKA/,IDA,PKA,IDfi,PKQ：輸入params,PK人=(切.外,/),SKa=,PK=(/,，),用戶A的身份和AAABBBBA用戶B的身份ID時(shí)在各個(gè)時(shí)間周期，60,1,2,.,-1，算法計(jì)算/心=PK,ID,PK)。算法輸出在箱時(shí)亥血寸

24、時(shí)重知密密ABB鑰RKa_>b=(Ci%(/,)+z人)modq。8) Encrypt(z,params,ID4,PK4,m):輸入params,明文m,用戶A身份IDa，PKa=(穌m"在各個(gè)時(shí)間周期旭0,1,2,，-1,算法計(jì)算Y=co%(叫,饑)3伍(2偵)和丫=火如用)o選擇一個(gè)A,iAA*A,i*A隨機(jī)數(shù)reZ并且計(jì)算，算法輸出&=>")。9) ReEncrypt。',params,RKatb,Caj):輸入params,RKA_,B和Caj=Cu，d)，在各個(gè)時(shí)間周期ie(0,1,2,.,/?-!,教法計(jì)登cR*z和設(shè)置d=c。1,/

25、2,i2,i算法輸出C*=(c>c,)o10) Decryptj(z,params,SKB,CBJ:輸入params,SKfi=,PKA=)和*=c,),在各個(gè)時(shí)間周期i昌0,1,2,.,-1，算法計(jì)算m=c,2i©H/XABj),這里Xe=H(W氣小。ID,Pk,ID,PK)。算法輸出m.4AAAABB11) Decrypt(z,params,SK,C):輸入2AA,iparams，C-(c,c)和SK=Q,z,u)。在各A,i1,/2JAAAA個(gè)時(shí)間周期ic0,1,2,1,算法計(jì)算m=c2i®化鏟川")*)。算法輸出仇。4安全證明定理1設(shè)哈希函數(shù)為隨機(jī)預(yù)

26、言機(jī)。考慮計(jì)算Diffie-Hellman困難問(wèn)題假設(shè)，KI_CLPRE體制對(duì)于攻擊者A】關(guān)于一級(jí)密文C=(c,c)在隨機(jī)預(yù)言機(jī)模型中是CPA安全的。A,iIJ2,i證明：將規(guī)約到計(jì)算Diffie-Hellman困難問(wèn)題上進(jìn)行安全證明。設(shè)定計(jì)算Diffie-Hellman問(wèn)題，挑戰(zhàn)者S利用攻擊者A來(lái)計(jì)算出/(g,g)瀝。當(dāng)gamel_1levell_ciphertext游戲開始后，由于攻擊者Ai為外部用戶，所以該攻擊者無(wú)法獲取密鑰生成中心的主密鑰master-key0挑戰(zhàn)者S設(shè)定y=gA=ga并且模擬哈希函數(shù)比，浜2，打3，%,出為隨機(jī)預(yù)言機(jī)。之后，設(shè)置職=g。在仿真試驗(yàn)中，挑戰(zhàn)者需要在一個(gè)時(shí)

27、間片內(nèi)猜測(cè)目標(biāo)明文中的每一位。在挑戰(zhàn)階段，挑戰(zhàn)者S返回一個(gè)一級(jí)密文Cu=(CU,C2/.):c=nf®H(Yr)=m®H好)r)其中:S=(©AyMUD八,仇(m，i)gZA)r=顯然，在&中Q,Aj為已知,所以可以得到g"即為CDH問(wèn)題的解，即攻擊者0只有在解決CDH問(wèn)題之后才能對(duì)所提方案中的一級(jí)密文進(jìn)行解密。故本文的方案在隨機(jī)預(yù)言機(jī)模型下是CPA安全的。定理2設(shè)哈希函數(shù)H】，,理，,叢為隨機(jī)預(yù)言機(jī)?？紤]計(jì)算Diffie-Hellman困難問(wèn)題假設(shè)，KI_CLPRE體制對(duì)于攻擊者A2關(guān)于一級(jí)密文CAJ=c2j)在隨機(jī)預(yù)言機(jī)模型中是CPA安全的。

28、證明：將規(guī)約到計(jì)算Diffie-Hellman困難問(wèn)題上進(jìn)行安全證明。設(shè)定計(jì)算Diffie-Hellman問(wèn)題，挑戰(zhàn)者S利用攻擊者A?來(lái)計(jì)算出e(g,g)ab0當(dāng)gamel_level1.ciphertext游戲開始后，由于攻擊者A2為惡意的密鑰生成中心，所以該攻擊者可以獲取密鑰生成中心的主密鑰master-key，但無(wú)法獲得用戶的密鑰等參數(shù)。挑戰(zhàn)者S設(shè)定y=gl=妒，并且模擬哈希函數(shù)比，息用3，%，%為隨機(jī)預(yù)言機(jī)。之后，設(shè)置/=。在仿真試驗(yàn)中，挑戰(zhàn)者需要在一個(gè)時(shí)間片內(nèi)猜測(cè)目標(biāo)明文中的每一位。在挑戰(zhàn)階段，挑戰(zhàn)者S返H一個(gè)一級(jí)密文Ca產(chǎn)（CJ,C2i）:S=矛H2（Y；）=耳（"以微）

29、其中：HJ）g=（/“）y=（69yHi（IDA0A）$H2（IDA,DgZAy=（gS"sxHl（IDa,a）AgrH2IE>4gZAy顯然，在§中g(shù)、及g電（IDN）及均為已知，所以挑戰(zhàn)者可以獲得g有即為CDH困難性問(wèn)題的解。即攻擊者A2只有在解決CDH問(wèn)題之后才能對(duì)本文方案中的一級(jí)密文進(jìn)行解密。故本文的方案在隨機(jī)預(yù)言機(jī)模型下是CPA安全的。定理3設(shè)哈希函數(shù)為隨機(jī)預(yù)言機(jī)?？紤]計(jì)算Diffie-Hellman困難問(wèn)題假設(shè)，KLCLPRE體制對(duì)于攻擊者Ai關(guān)于二級(jí)密文*=«,<）在隨機(jī)預(yù)言機(jī)模型中是CPA安全的。證明：將規(guī)約到計(jì)算Diffie-Hell

30、man困難問(wèn)題上進(jìn)行安全性證明。由于本文方案中一級(jí)密文與二級(jí)密文加密算法一致，所以安全性證明與定理1類似，不再贅述。攻擊者Ai只有在解決CDH問(wèn)題之后才能對(duì)所提方案中的二級(jí)密文進(jìn)行解密。故本文的方案在隨機(jī)預(yù)言機(jī)模型下是CPA安全的。定理4設(shè)哈希函數(shù)凱，出，理，,電為隨機(jī)預(yù)言機(jī)。考慮計(jì)算Diffie-Hellman困難問(wèn)題假設(shè)，KI.CLPRE體制對(duì)于攻擊者A2關(guān)于二級(jí)密文C據(jù)=«,<）在隨機(jī)預(yù)言機(jī)模型中是CPA安全的。證明：將規(guī)約到計(jì)算Diffie-Hellman困難問(wèn)題上進(jìn)行安全性證明。由于本文方案中一級(jí)密文與二級(jí)密文加密算法一致，所以安全性證明與定理2類似，不再贅述。攻擊者

31、A2只有在解決CDH問(wèn)題之后才能對(duì)所提方案中的二級(jí)密文進(jìn)行解密。故本文的方案在隨機(jī)預(yù)言機(jī)模型下是CPA安全的。5性能分析在密鑰隔離無(wú)證書代理重加密體制KI-CLPRE方案中，A方和3方由KGC周期性得提供一個(gè)協(xié)助器密鑰，從而得以在每個(gè)時(shí)間片更新各自的重加密密鑰。該方法雖然增加了方案的執(zhí)行時(shí)間，但是由于每個(gè)時(shí)間片的重加密密鑰都得以更新，所以即使單個(gè)時(shí)間片的重加密密鑰被泄露，卻仍然保密了其他時(shí)間片的重加密密鑰，減少了系統(tǒng)在復(fù)雜環(huán)境下密鑰泄露問(wèn)題，提高了方案的安全性。接下來(lái)，將本文的方案與文獻(xiàn)12和文獻(xiàn)14的方案進(jìn)行性能和安全的對(duì)比分析。代表在群G中指數(shù)運(yùn)算的執(zhí)行時(shí)間，",代表對(duì)運(yùn)算的執(zhí)行

32、時(shí)間，|G|,|G|分別代表群G中元素的長(zhǎng)度以及群G元素的長(zhǎng)度，|ZJ代表隨機(jī)數(shù)的長(zhǎng)度，|刑代表消息m的長(zhǎng)度，切|代表簽名的長(zhǎng)度。由表1可知，就執(zhí)行效率而言，在文獻(xiàn)14和文獻(xiàn)12的方案中Encrypt>SetReEncrypt>ReEncrypt>Decrypt】、Decrypt2算法的執(zhí)行時(shí)間分別為3七、3"、t,、3te、te和6te>4te>6tp、tp+4。、2匕+4，而在本文的方案中，執(zhí)行上述算法的時(shí)間為>4矽、L、3,、孩,由此可知，本文方案和文獻(xiàn)14的方案相當(dāng)，而明顯高于文獻(xiàn)12的方案。就重加密密鑰、原始密文以及轉(zhuǎn)換密文長(zhǎng)度而言，本文

33、方案中|C/、pK21、|C；.|的長(zhǎng)度為p|+網(wǎng)、ZGI+網(wǎng)，而文獻(xiàn)14和文獻(xiàn)12的方案中對(duì)應(yīng)長(zhǎng)度分別為|G|+樹、|Z、|G|+"|以及3|G|+1卜十|、3|G|、|G|+20|+依|+樹,上述結(jié)論同樣成立。就功能來(lái)說(shuō)，本文方案在基于CDH困難問(wèn)題的前提下能夠達(dá)到CPA安全，并且能提供無(wú)證書和抗密鑰泄露兩種功能。雖然安全性達(dá)不到文獻(xiàn)方案中的CCA安全，但是文獻(xiàn)12的方案不能提供抗密鑰泄露和無(wú)證書兩種功能，并且效率明顯低于本文的方案。文獻(xiàn)14的方案在性能方面和本文方案大致相當(dāng)，但沒有提供抗密鑰泄露的功能。綜上所述，本文方案和文獻(xiàn)14的方案相比，具有更多功能，比文獻(xiàn)12的方案在效率

34、方面具有明顯的優(yōu)勢(shì)。表2給出了與表1相對(duì)應(yīng)的定量分析，該數(shù)據(jù)證實(shí)了上述性能分析結(jié)論。圖1圖4是幾種方案在加密的消耗時(shí)間、一級(jí)密文解密時(shí)間以及二級(jí)密文解密時(shí)間方面的比較。本文方案通過(guò)周期性得更新密鑰，提供了密鑰隔離功能，減緩了在復(fù)雜環(huán)境下的密鑰泄露問(wèn)題。表1本文方案和文獻(xiàn)14、文獻(xiàn)12方案的性能對(duì)比Scheme文獻(xiàn)14文獻(xiàn)12本文方案Encrypt3t<6rt.VSetReEncrypt4。4八ReEncryptte&pteDecryptj3/,G+4.3teDecrypt?te2%+也|g|+h狷+時(shí)+E|G|+同lRKU懷j3|削lc-lQ時(shí)|g|+2|g+|洲+|(r|GW表

35、2對(duì)表1性能定量分析的對(duì)比Scheme文獻(xiàn)14文獻(xiàn)12本文方案Encrypt3.54ms7.08ms4.72msSetReEncrypt354ms4.72ms4.72msReEncrypt1.18ms87.9ms1.18msDecrypt3.54ms1937ms3.54msDecrypt?1.18ms34.02ms1.18msG,2048bits4256bits2048bitsRJ160bits3072bits160bits*2048bits4256bits2048bits2000r180()1600、1400-12001()0()8006004002000T文獻(xiàn)14的方案7。文獻(xiàn)12的方案-

36、惑=本文方案j1130405060708090100請(qǐng)求次數(shù)圖2不同方案一級(jí)密文解密所需時(shí)間的比較ooooooOooooooO8765432回i拯另100"0102030405060708090100請(qǐng)求次數(shù)圖1不同方案加密所需時(shí)間的比較圖3不同方案二級(jí)密文解密所需時(shí)間的比較KGC圖4應(yīng)用場(chǎng)景6應(yīng)用場(chǎng)景基于無(wú)證書的密鑰隔離代理重加密系統(tǒng)可以應(yīng)用到受到私鑰泄露問(wèn)題困擾的一系列實(shí)際環(huán)境中。達(dá)到取消證書機(jī)構(gòu)、避免密鑰托管問(wèn)題和降低密鑰泄露的危害的目的。將本文方案部署到手機(jī)郵件應(yīng)用程序，如圖4所示，該環(huán)境下系統(tǒng)對(duì)時(shí)間分片。每個(gè)用戶持有手機(jī)和對(duì)應(yīng)的充電器，充電器作為協(xié)助器，密鑰分發(fā)中心(KGC

37、)負(fù)責(zé)生成用戶的部分私鑰。例如，在該系統(tǒng)中，用戶Alice想給用戶Bob發(fā)送一份郵件秫。首先，KGC將Alice的公鑰PA部分私鑰Ea發(fā)給Alice,然后Alice在自己的手機(jī)上生成秘密值Sa，并使用充電器生成時(shí)間片，下的協(xié)助器密鑰利用這三部分信息，Alice將私鑰更新為對(duì)應(yīng)系統(tǒng)時(shí)間片，下的私鑰SKa。同理，Bob按照這種方式得到自己的公私鑰對(duì)。Alice計(jì)算出由Alice到Bob的重加密密鑰RK和郵件對(duì)應(yīng)的密文Cu，將RKaf和C®發(fā)送給重加密服務(wù)器。重加密服務(wù)器將G,轉(zhuǎn)換為,Bob使用自己的私鑰就可以解密C庭得到m。假設(shè)惡意的攻擊者M(jìn)alice想偷看Alice發(fā)給Bob的郵件，M

38、alice偷取了Bob的手機(jī)，但由于Malice無(wú)法得到Bob的充電器(協(xié)助器)，因此無(wú)法得到最新的私鑰,所以即使手機(jī)丟失，加密的內(nèi)容仍然能保持機(jī)密性。7結(jié)束語(yǔ)KI-CLPRE體制是將密鑰隔離的功能嵌入到代理重加密體制而形成的。這種新的體制將時(shí)間分為個(gè)時(shí)間片，在每個(gè)時(shí)間片周期性得更新用戶的密鑰和重加密密鑰，即使在某個(gè)時(shí)期，用戶的密鑰或重加密密鑰被泄露，也不會(huì)影響到系統(tǒng)在其它的時(shí)間片的安全性。從而，KI-CLPRE體制的私鑰暴露問(wèn)題在惡劣的實(shí)際環(huán)境中得到了減少。本文首先形式化定義了KI-CLPRE體制，并給出了安全模型和相關(guān)困難問(wèn)題假設(shè)。接著，給出了KI-CLPRE體制的具體結(jié)構(gòu)。最后，在隨機(jī)預(yù)

39、言機(jī)模型里，論證了KI-CLPRE體制在IND-CPA游戲里的安全性。參考文獻(xiàn)1BLAZEM,BLEUMERG,STRAUSSM.DivertibleprotocolsandatomicproxycryptographyC/InternationalConferenceontheTheoryandApplicationsofCryptographicTechniques.Berlin,Heidelberg:Springer,1998:127-144.2 DENGRH,WENGJ,LIUS,etal.Chosen-ciphertextsecureproxyre-encryptionwithout

40、pairingsC/InternationalConferenceonCryptologyandNetworkSecurity.Berlin,Heidelberg:Springer,2008:1-17.3 SUNJ,HUY.Chosen-ciphertextsecurebidirectionalproxybroadcastre-encryptionschemesfJ.InternationalJournalofInformation&CommunicationTechnology,2016,8(4):405-419.|4LIUQ,WANGG,WUJ.Time-basedproxyre-

41、encryptionschemeforsecuredatasharinginacloudenvironmentJ.InformationSciences,2014,258(3):355-370.5 HAYASHIR,MATSUSHITAT,YOSHIDAT,etal.Unforgeabilityofre-encryptionkeysagainstcollusionattackinproxyre-encryptionCl/InternationalWorkshoponSecurity.Berlin,Heidelberg:Springer,2011:210-229.6 WUX,XUL,ZHANGX.Poster:acertificatelessproxyreencryptionschemeforcloud-baseddatasharingC/Proceedingsofthe18thACMConferenceonComputerandComm